IPsec ポリシーの追加

  1. 「VPN」 > 「IPsec ポリシー」に移動して、「追加」をクリックします。
  2. 名前を入力します。
  3. 全般設定を指定します。
    オプション説明
    鍵交換 使用する IKE (Internet Key Exchange) のバージョン。IKEv2 は IKEv1 より帯域使用量が少ないほか、EAP 認証と NAT トラバーサルに対応しているなど、機能が向上しています。
    認証モード 認証 (フェーズ 1) 情報の交換モード。

    メインモード Diffie–Hellman 鍵交換を 3 回の双方向交換によって実行します。

    セキュリティ Diffie–Hellman鍵交換を 3 つのメッセージで実行します。この方法では、認証の際に交換されるメッセージ数が少なく、また、認証情報を暗号化する暗号アルゴリズムが使用されないので、メインモードよりもすばやくトンネルを確立できます。リモートピアがダイナミック IP アドレスを持つ場合は、このオプションを使用してください。

    警告: アグレッシブモードは安全ではないので、推奨されません。
    鍵のネゴシエーションの試行回数 鍵のネゴシエーションを試行する最大回数。
    鍵の再入力を許可 鍵を再入力できるようにし、鍵の有効期限が切れる前にネゴシエーションプロセスを自動的に開始します。ネゴシエーションは、ローカルまたはリモートピアのどちらからでも開始できます。ネゴシエーションで同じ鍵を使用するか、新しい鍵を生成するかは、PFS に依存します。このオプションを有効にした場合は、フェーズ 1、2 の鍵の有効期間を設定します。

    無効にすると、ピアが鍵の再入力リクエストを送信したときのみ、ネゴシエーションプロセスが開始されます。ピアが鍵の再入力をしないよう設定された場合は、鍵の有効期間中、同じ鍵が使用されます。新しい鍵が生成されないため、この構成は安全ではありません。このオプションは、ピアを乗っ取った第三者がセキュリティアソシエーションを使用できる期間を制限することを目的としています。

    圧縮形式でデータをパスする スループットを増加するため、圧縮形式でデータを転送します。
    SHA2 (96ビット切り捨て) IKEv1 でのみ利用可能。SHA2 の 96 ビット切り捨てを有効にします。
  4. フェーズ 1 の設定を指定します。
    オプション説明
    鍵の有効期間 鍵の有効期間 (秒単位)。
    鍵の再入力マージン 鍵の有効期間の残り時間 (秒単位)。ここで指定した秒数に達すると、ネゴシエーションプロセスが再試行されます。 たとえば、鍵の有効期間が 8 時間で鍵の再入力マージンが 10 分の場合、ネゴシエーションプロセスは 7 時間 50 分後に開始します。
    鍵の再入力マージンをランダム化する割合: 鍵の再入力マージンをランダム化する因子。 たとえば、鍵の有効期間が 8 時間、鍵の再入力マージンが 10 分、ランダム化が 20% に設定されている場合、鍵の再入力マージンは 8 ~12 分となり、ネゴシエーションプロセスはそれに従って開始・終了します。
    DH グループ 暗号化に使用する Diffie–Hellman グループ。 グループには、暗号化に使用する鍵の長さを指定します。
    注: リモートピアは、同じグループを使用する必要があります。
    アルゴリズムの組み合わせ 暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。
    注: リモートピアは、定義された組み合わせを少なくとも 1 つ使用する必要があります。
  5. フェーズ 2 の設定を指定します。
    オプション説明
    PFS グループ 各フェーズ 2 トンネルに新しい鍵交換を強制するために使用される Perfect Forward Secrecy グループ (Diffie–Hellman グループ)。
    注: PFS を使用した方が安全ですが、鍵の再入力に時間がかかることがあります。PFS をサポートしていないベンダーもあります。グループを選択する前に、ハードウェアの仕様を確認してください。
    鍵の有効期間 鍵の有効期間 (秒単位)。 フェーズ 2 の鍵の有効期間はフェーズ 1 より短くしてください。
    アルゴリズムの組み合わせ 暗号化アルゴリズムと認証アルゴリズムの組み合わせ。この組み合わせにより、データ交換の整合性を保ちます。
    注: リモートピアは、定義された組み合わせを少なくとも 1 つ使用する必要があります。
  6. デッドピア検知の設定を指定します。
    オプション説明
    デッドピア検知 指定された間隔ごとに、ピアが有効かどうかを確認します。 スタティックエンドポイントへの接続では、トンネルの再ネゴシエーションは自動的に行われます。ダイナミックエンドポイントへの接続では、リモート側がトンネルの再ネゴシエーションを行う必要があります。
    次の後にピアを確認する: ピアの確認を行う間隔 (秒)。
    次まで応答を待つ: ピアの応答を待機する時間 (秒)。 指定間隔内に応答がない場合、ピアは非アクティブとみなされます。
    ピアが到達不可能な場合に動作する ピアが非アクティブであると判定したときに実行する処理。
  7. 保存」をクリックします。